《个人信息保护与电子文件法》

加拿大《个人信息保护与电子文件法》于2000年颁布。考虑到不同行业领域之间的特殊性，《个人信息保护与电子文件法》非常有特色地分为2001年l月、2002年l月和2004年1月三个阶段逐步生效。该法的主要目的在于规范加拿大私营企业和组织在商业活动过程中收集、使用或披露个人信息的行为。按照《个人信息保护与电子文件法》，个人信息是指除姓名、职务以及作为一个组织雇员的办公地址或电话号码外，所有的可识别的个人的信息。通过对比可以得出，《隐私权法》保护的个人信息没有涵盖尚未形成记录的个人信息。

《个人信息保护与电子文件法》关于个人信息保护规定了十项基本原则：（l）个人信息保护责任制原则，即任何持有个人信息的组织都必须指定专人负责本组织依法应当履行的个人信息保护义务，保护本组织所持有的和为处理的需要而转移给第三方的个人信息，并制定和实施本组织个人信息保护的政策和措施。（2）个人信息收集目的确定原则，即在收集个人信息时或在此之前必须有明确的目的，包括收集原因、如何使用以及必要性，并告知信息关系人。（3）个人信息关系人同意原则，即任何组织在收集个人信息时或在此之前都必须以有效的方式告知信息关系人收集、使用和披露个人信息的目的，并取得信息关系人的同意。此外，当所收集的个人信息用于新的用途时则必须再次取得同意。（4）个人信息收集限制原则，即禁止随意收集个人信息以及禁止通过欺骗、误导信息关系人来收集个人信息。（5）个人信息限制使用、披露和保留原则，即除非获得授权，否则只能为了收集信息的目的或按《个人信息保护与电子文件法》的规定使用或披露个人信息；保留个人信息必须遵循必要性原则，应及时销毁不符合使用目的或法律要求的匿名信息；为对个人做出某种决定而保留个人信息的，必须在合理的时间内做出决定，并允许当事人在事后索取和补充、修正个人信息。（6）个人信息保护相关措施有效保障原则，即采取适当措施确保所持有的个人信息安全，不被遗失、盗窃以及未经授权的访问、披露、复制、使用或修改。（7）个人信息准确原则，即除有明确的限制规定外，必须及时更新和完善所收集的个人信息，保证信息的准确性和完整性。（8）个人信息保护政策开放原则，即以容易被理解和获取的方式，向顾客、客户和员工开放本组织的个人信息保护方面的政策措施。（9）个人信息允许访问原则，即当个人申请索取其个人信息时，除有法定例外情形，有义务告知本组织所持有的本人全部信息以及使用、披露给第三方的情况，允许信息关系人对被收集信息的准确性和完整性进行更正和修改。同时，在适当的位置注明有争议的部分，并告知有争议的第三方。（10）个人信息侵害救济原则，即必须建立简单易行的投诉机制，并告知信息关系人本组织、本行业协会、监管机构以及加拿大隐私专员办公室等各种救济途径。负责个人信息保护的相关行政部门对收到的投诉应当迅速、积极开展调查，并采取适当措施纠正本组织错误的个人信息保护政策措施。^[8]